» uVS - Universal Virus Sniffer

Краткое описание функций:

Анализ и коррекция объектов автозапуска активной, не_активной и удаленной системы.
Простое представление полезной информации и легкая коррекция автозапуска.
Анализ автозапуска и предоставление пользователю списка подозрительных файлов.
Ведение пользовательской базы сигнатур вирусов.
Добавление новых сигнатур прямо из подозиртельных файла(ов)
Пользователь не должен выделять или указывать сигнатуру uVS сделает это сам.
Регулировка чувствительности поискового движка для каждой сигнатуры.
Поиск вирусов и подозрительных файлов в выбранном каталоге.
Тест на неизвестные файловые вирусы и извлечение сигнатуры из обнаруженного зловреда.
Бэкап реестра с его дефрагментацией и восстановлением (если необходимо).
Поиск и уничтожение некоторых типов руткитов/стелсов (без знания о них)
Поддержка x64 систем.
Установка патчей на удаленный компьютер.

Поддерживаемые системы: Win2k, Win2k3, WinXP x86, Vista x86/x64, Win7 x86/x64, WinPE, Win8.
Скачать uVS
English version
База SHA (актуальная ссылка)
Утилита обновления базы SHA
Сравнение с AVZ

Обновил версию, существенно расширен функционал:
в т.ч. проверка удаленных систем по сети (в т.ч. установка патчей), без необходимости предварительной установки/копирования клиента.
Кол-во проверямых ключей реестра теперь заметно больше чем в autoruns от SysInternals.
Управление reageidt-ом дабликом по ссылке и много других полезных функций.
Подробнее см. whatsnew.txt в архиве.

demkd
Недавно случайно наткнулся на твою очень полезную программу Universal Virus Sniffer v2.80,

Цитата:

Уникальные возможности:

01. Три основных режима: работа с активными, неактивными и удаленными системами (по сети без установки доп. софта).

02. Работа с реестром в любом режиме: удаление ссылок на вирусы, устранение проблем после лечения системы антивирусом.

03. Уникальный набор фильтров и встроенный анализатор для быстрого обнаружения неизвестных зловредов.

04. Ведение пользовательской базы вирусов, автоматическое извлечение сигнатур из исполняемых файлов (в т.ч. защищенных)

05. Автоматическое обнаружение активных файловых вирусов и снятие их сигнатур.

06. Быстрое обнаружение и легкое устранение любых файловых руткитов [файл сверки + проврка цифр. подписей под чистой системой]

07. Возможность использования каталога внешних цифровых подписей (CatRoot) неактивной системы (в т.ч. и в WinPE 2.x-3.x)

08. Запуск в режиме чистого рабочего стола. (устранение Winlock-а)

09. Специальный иммунный (к нек. видам блок. запуска) модуль зачистки системы перед запуском uVS. (StartF, устранение Winlock-а)

10. Выявление скрытого заражения MBR, Boot секторов и загрузчиков Windows. [файл сверки]

11. Удобное восстановление поврежденных/отсутствующих файлов из дистрибутива Windows. [только для Win2k/XP/2k3]

12. Бэкап реестра с его дефрагментацией и восстановлением.

13. Взаимодейтсвие с редактором реестра в т.ч. в x64 и WinPE.

большое спасибо, буду тестировать.

Вышла uVS 2.85

Вышла версия 3.00

http://dsrt.jino-net.ru/files/uvs_v300.zip

Вышла версия 3.01

http://dsrt.jino-net.ru/files/uvs_v301.zip

Вышла версия 3.03

http://dsrt.jino-net.ru/files/uvs_v303.zip

Вышла версия 3.10

http://dsrt.jino-net.ru/files/uvs_v310.zip

---------------------------------------------------------
3.10
---------------------------------------------------------
- Новая функция - вычисление хэша файла SHA1.
Функция доступна в:
Контекстном меню файла->В буфер обмена->SHA1
(После вычисления SHA1 будет доступен в свойствах файла и буфере обмена)

Окне информации о файле - кнопка SHA1->CB, при нажатии кнопки хэш помещается в буфер обмена.
(дополнительно производится поиск хэша в базе проверенных как и в первом случае)

В меню Подпись/Хэш (для произвольного реального файла на лок. диске или диске удаленной системы)
(хэш виртуальных файлов смотрите в их свойствах)

В меню Подпись/Хэш для всех файлов в списке, все файлы с хэшами найденными в базе помечаются
как проверенные. (гор. клавиша F4)
(!) При работе с образом используется _локальная_ база проверенных и соотв. доступна массовая
проверка хэшей файлов по вашей базе.

Для начального заполнения базы проверенных хэшами чистых файлов используйте рекурсивную функцию:
Файл->Добавить исполняемые файлы каталога в базу проверенных...
Дополнительно в меню Файл можно импортировать хэши из другой базы для объединения или пополнения
общей базы проверенных файлов.

Функции по работе с хэшем доступны при работе с _реальной_ системой и частично при работе
с образом системы. (не доступны функции добавления и удаления хэша для исключения ошибок)

Область применения - проверка файла на virustotal по SHA1 и ведение базы проверенных файлов.
База имеет имя sha1.

При обновлении списка происходит автоматическое вычисление хэша подозрительного файла,
если хэш будет найден в базе то подозрения с файла снимаются и файл получает статус "проверенный".

Код для вычисления SHA1 целиком взят из RFC3174.

- При работе с образом системы в свойства виртуальных файлов теперь доступен SHA1 в разделе
доп. информации и актуальный тип/статус виртуального файла (после проведения операций над файлом)

- Введена начальная поддержка Argument Switch Attack для получения неограниченного доступа
к защищенным процессам и их завершения. ASA тестировалась на WinXP, Win7 x86, Win7 x64 на одно и
многопроцессорных системах. Метод признан годным к использованию и в в логе uVS будет
фигурировать под именем "ASA". Использована стандартная двухэтапная ASA, максимальное
количество циклов каждого этапа 5000.
Основная область применения - завершение защищенных процессов под NTx64, где не работает старый,
но более мощный 4-й метод завершения процессов. (для краткости и логов он получил имя "IJ")
Побочная область применения - тестирования любимого защищенного софта на устойчивость к ASA.
ASA активируется автоматически при отказе в завершении процесса, если ASA не удалась, то
активируется модифицированный IJ (только для x86), где на подготовительном этапе при необходимости
используются отдельные элементы первого этапа ASA.

- В меню твиков добавлен новый пункт "Сброс значений ключей Winlogon в начальное состояние"
(твик #12)
Значения GinaDLL, SaveDumpStart, ServiceControllerStart, Taskman, LsaStart, AppSetup,
System - удаляются для HKLM и всех пользователей,
Userinit, Shell, VmApplet принимают правильное значение для HKLM и соотв. версии NT,
для пользователей удаляются.
UIHost принимает правильное значение для HKLM, для пользователей удаляется и удаляется для версий
NT>=6.

- Исправлена ошибка в функции разбора ключей реестра и в некоторых случаях приводящая
к аварийному завершению.

- Исправлена ошибка в функции разбора UIHost, Userinit, Shell и некоторых других ключей.

- Улучшены функции работы с ключами реестра, теперь при работе с ключами и значениями при
_необходимости_ автоматически происходит сброс прав доступа к ключу и в особых случаях
захват ключей с заменой его владельца на пользователя под которым запущен uVS.

Вышла версия 3.11

http://dsrt.jino-net.ru/files/uvs_v311.zip

---------------------------------------------------------
3.11
---------------------------------------------------------
o Добавлена новая функция Файл->Добавить хэши всех проверенных файлов в базу проверенных
Хэши всех проверенных (любым способом, в т.ч. пользователем) файлов помещаются в базу проверенных.
Функция достаточно безопасная, однако будьте внимательны при пополнении собственной базы проверенных.
(!) Функция доступна и при работе с удаленной системой.

o Изменено наименование файлов копируемых в Zoo, к имени файла добавляется SHA1 файла.

o Добавлен звуковой сигнал на завершение пополнения базы проверенных.

o Оптимизирована перерисовка окна информации о файле при работе с удаленной системой.

o Оптимизирована функция импорта базы проверенных.

o Теперь при использовании гор. клавиш F6 и F4 автоматически включается опция "Скрыть проверенные"

o Теперь функции проверки цифр. подписи и хэшей не проверяют подписи уже проверенных файлов и
файлов с сетевым путем, что значительно повышает производительность особенно при последовательной
проверке.
Сбросить статус ВСЕХ проверенных файлов можно в меню Подпись/Хэш соотв. функцией.

o Теперь при работе с удаленной системой в лог заносится список всех dial-up соединений и
имя компьютера.

o Модернизирована функция сверки, теперь при определении измененных файлов используется SHA1.
(!) Формат файла сверки изменен.

o Исправлена ошибка при работе с образом системы: SHA1 печатался в лог, но не помещался в буфер
обмена соотв. командой.

o Исправлена ошибка из-за которой некоторые уже проверенные файлы не получали статус "проверенный"
после обновления списка.

o Исправлены критические ошибки, которые могли привести к аварийному завершению при работе
с удаленной системой.

o Исправлена критическая ошибка, которая могла привести к аварийному завершению при проведении
сверки.

Вышла версия 3.12

http://dsrt.jino-net.ru/files/uvs_v312.zip

---------------------------------------------------------
3.12
---------------------------------------------------------
o При проверке цифровых подписей неактивной системы ее CatRoot теперь загружается автоматически
если это необходимо.

o При проверке цифровых подписей известные файлы для которых проверка завершилась с ошибкой
теперь заносятся в категорию подозрительных.

o Добавлены новые горячие клавиши:
Ctrl+F1 - Скрыть/показать проверенные файлы.
Alt+F1 - Скрыть/показать известные файлы.
Alt+Up - Пердыдущая категория
Alt+Down - Следующая категория

o Функция "Открыть каталог где находится файл" теперь работает только если Explorer загружен.

o Исправлена функция разбора ключа Load. (ведущая запятая)

o Удалена ошибочная выгрузка драйверов при проверке НЕактивной системы.

o Исправлены мелкие интерфейсные ошибки при работе с удаленной системой.

Хм... а реально как дело обстоит? Пользователи, где ваши отзывы?

Да, где отзывы

Все системы к которым я имею доступ чисты

Вышла версия 3.20

http://dsrt.jino-net.ru/files/uvs_v320.zip

---------------------------------------------------------
3.20
---------------------------------------------------------
Добавлена возможность работы с виртуальным реестром.
Виртуализируются ветки SYSTEM и SOFTWARE. (пользовательский реестр не затрагивается)
Область применения:
Удаление ссылок на руткиты или излишне... упорный софт, который защищает свои ключи реестра,
(при невозможности загрузиться с dvd/флешки или отсутствии физического доступа к компьютеру)
(в т.ч. по сети)
Подробнее см. DOC\виртуализация.txt
Функция доступна при работе с активными/удаленным системами и образом системы.
Доступны скриптовые команды vreg и areg.
(!) Функция потенциально опасная, но и возможности которая она открывает переоценить трудно.

o Добавлен новый пункт в меню Запустить->"Внешний файловый менеджер".
(гор. клавиша Alt+F)
Менеджер запускается под тем же пользователем, что и uVS.
При первом использовании укажите исполняемый модуль вашего любимого файлового менеджера.
Рекомендуется поместить его в подкаталог в каталоге uVS, тогда будет использоваться
относительный путь вместо абсолютного, что сделает сборку мобильной.
(Настройки хранятся в файле Settings.ini)
(!) uVS не только запускает менеджер, но и выдает ему привилегии для ПОЛНОГО доступа к файлам
(!) и каталогам с ограниченным доступом. (например к System Volume Information)
(!) Будьте осторожны с этой функцией при подозрении на активный файловый вирус, uVS НЕ защищает
(!) файловый менеджер.

o Добавлена новая команда "restart" в скриптовый язык.
Команда прекращает выполнение скрипта и перезагружает систему.
В режиме работы с образом системы команда добавляется в меню "Дополнительно".

o Добавлена новая команда "breg" в скриптовый язык.
Команда выполняет бэкап реестра.

o Добавлена новая функция "Поместить копии всех НЕПРОВЕРЕННЫХ файлов в BOX".
Файлы помещаются в каталог BOX (в корне uVS) и именуются аналогично тем что попадают в ZOO.

o Добавлена возможность извлекать сигнатуры из файлов "лишенных статуса исполняемого".

o Добавлен новый пункт меню Файл->"Выполнить скрипт находящийся в буфере обмена".

o Добавлен новый твик "Удалить все Persistent routes".
(твик #13)

o Модифицирован алгоритм разбора и очистки значений некоторых важных ключей реестра.

o При неудачной проверке цифр. подписи файла, файл получает статус подозрительного.
(Только в случае массовой проверки по F6)

o Теперь в лог печатается описание ошибки проверки цифр. подписи.

o Теперь при значительных операциях с реестром Regedit автоматически закрывается.
(для устранения проблем с выгрузкой hive-ов).

o Исправлена ошибка при сортировке списка по статусу.

o Теперь при старте в лог печатаются все Persistent routes.
(Некоторые зловреды используют их для блокировки доступа к антивирусным сайтам)

o Исправлена функция построения списка файлов запускавшихся неявно.

o Исправлена ошибка в функции удаления ключей со всеми подключами.

NAGRIS
Исправь ссылку, она у тебя ведет на версию 3.12

Вышла версия 3.21

http://dsrt.jino-net.ru/files/uvs_v321.zip

---------------------------------------------------------
3.21
---------------------------------------------------------
o Добавлена безопасная виртуализация SYSTEM и SOFTWARE.
Пердварительно выполняется обычный бэкап реестра и на основе бэкапа формируются виртуальные
ветки SYSTEM/SOFTWARE. Т.е. в данном случае исключаются потенциальные проблемы быстрой
виртуализации, однако после безопасной виртуализации в списке не появятся скрытые ключи реестра,
что имеет свои плюсы и минусы. Например плюс в том что в виртуальных ветках изначально отсутствуют
ключи автозапуска скрытые руткитом, т.е. после актуализации реестра руткит получит проблемы
с загрузкой уже только из-за своего стремления скрывать свой автозапуск.
(скиптовая команда sreg)

o Скриптовые команды areg, vreg, sreg, restart теперь пропускаются при исполнении скрипта на
неактивной системе.

o Модифицирована функция удаления файлов.

o Исправлена функция "Убить все вирусы", в случае если зловред, убитый этой функцией, запускался
с неявно заданным путем, то в реестре могла остаться на него ссылка.
Теперь ссылки остаются только на убитые _известные_ файлы.

o Устранена утечка памяти при открытии вложеных окон "Информация о файле".

o Добавлена возможность локализации интерфейса uVS без изменения дистрибутива.
Желающие перевести интерфейс uVS на язык отличный от английского и затем поддерживать его
в актуальном виде (при смене версии uVS) могут обращаться ко мне на email: demkd@mail.ru
Имя модуля локализации "lclz". Английский модуль в данный момент находится на проверке,
в дистрибутив английский модуль включаться НЕ будет, скачать его можно будет с оф. сайта отдельно.

o Исправлена функция разбора пути до файла, были проблемы с разбором путей содержащих в себе "."

Вышла версия 3.23

http://dsrt.jino-net.ru/files/uvs_v323.zip

---------------------------------------------------------
3.23
---------------------------------------------------------
o Добавлена поддержка нестандартных путей в окно выбора каталога/файла.
В т.ч. поддерживается вход в дубликат каталога ".."
Вход в пустые каталоги больше не допускается.
(!) Стандартный каталог ".." удален из списка, возврат на уровень выше теперь возможен только
(!) с клавиатуры.

o Добавлена возможность удалить каталог из окна выбора каталога/файла.
Поддерживается удаление каталогов с дубликатом "..".
Поддерживается очистка всего диска.
Функция работает во всех режимах.
(гор. клавиша Del).

o Добавлена возможность открывать другой образ автозапуска (только в режиме работы с образом)
(гор. клавиша Ctrl+O)

o Добавлена поддержка нестандартных путей во все основные функции.

o Удалена функция оптимизации пути к файлу для поддержки нестандартных путей.

o Исправлена ошибка в функции инициализации, ошибка могла привести к подвисанию процесса uVS
на старте (если инициализация завершилась неудачно).

o Удалена операция обновления списка в функции сохранения образа для неактивных систем,
что позволяет теперь сохранять образ неактивных систем без потери результатов сверки.

Не могу понять,как она работает.При выборе каталога,постоянно вылетает ошибка.

Вышла версия 3.24

http://dsrt.jino-net.ru/files/uvs_v324.zip

---------------------------------------------------------
3.24
---------------------------------------------------------
o Добавлено 24 ключа реестра в список для проверки.

o Возвращена функция оптимизации пути в переработанном виде, теперь надежно отличаются
дополнительные "невидимые" подкаталоги "." и ".." от стандартных и в случае обнаружения
в пути к файлу таких нестандартных _участков оптимизация _этих _участков НЕ производится.
(!) Зайти в такие каталоги или удалить их можно в любом окне выбора файла или каталога.
(например в окне доступном по кнопке "Проверить каталог")

o Расширен список кривых версий PSAPI для Windows 2000, соотв. при обнаружении такой версии
в лог выдается предупреждение и используется упрощенный метод сбора загруженных DLL.

o Добавлен новый пункт меню Дополнительно->Установленные программы.
При работе с активной или удаленной системой даблкликом можно запустить соотв. деинсталлятор
в _проверяемой_системе_.
При работе с неактивной системой доступен только режим просмотра.
При работе с образом автозапуска функция недоступна.

o Оптимизирована функция сохранения образа автозапуска.

o Функция рассчета SHA1 исправлена, теперь правильно считается хэш файлов размером больше 4Gb.

o Исправлены мелкие интерфейсные ошибки в окне выбора каталога/файла.
Горячая клавиша Del теперь может удалять и отдельные файлы.

o Исправлена ошибка сохранения образа для удаленных систем.
(не добавлялись дополнительные файлы из системных папок при установленном фильтре на дату)

o Восстановлена работоспособность _сетевых_ функций испорченных переходом на поддержку
длинных и нестандартных путей к файлам в v3.23.

Вышла версия 3.25

http://dsrt.jino-net.ru/files/uvs_v325.zip

---------------------------------------------------------
3.25
---------------------------------------------------------
o Для процессов проявляющих сетевую активность добавлена доп. информация (адрес:порт) для каждого
pid-а отдельно. (TCP/TCP6, UDP/UDP6)

o Создано специальное окно для более удобного применения твиков.
(гор. клавиша Alt+T)

o Добавлены твики:
15 - Разрешить отображение вкладки Экран->Рабочий стол
16 - Разрешить отображение вкладки Экран->Заставка
17 - Полная очистка ключей Safer\CodeIdentifiers\0\Paths
18 - Снять ограничения на запуск приложений в Explorer-е

o В категории "Линки на отс. файлы" добавлена поддержка горячей клавиши Del.
(удаление файла без предупреждения)

o Из функции "Выгрузить ВСЕ неизвестные/непроверенные процессы и блокировать запуск служб"
исключена _принудительная проверка цифровых подписей, что делает ее более гибкой.
Например если вы хотите выгрузить все неизвестные за исключением 1-2 процессов, то просто
помечаете нужные файлы проверенными вручную и затем запускаете эту функцию. Если хотите
выгрузить ВСЕ неизвестное и непроверенное, то сперва проверяете подписи и/или хэши.

o Удален третий метод завершения процессов из-за конфликта с самозащитой
Trend Micro OfficeScan 10-й версии. (как в uVS так и в StartF)
Оставлен лишь базовый метод (номер 1) и два метода для продавливания (само)защиты ASA и IJ.
TM не был добавлен в исключения, поскольку IJ его полностью выгружает без фатальных последствий
для системы свойственных бывшему методу номер 3 и номеру 2 (отключенному в v2.83).
KAV теперь тоже не конфликтует с функциями массового завершения процессов,
соотв. он удален из списка исключений.

o Исправлена ошибка в Start.exe иногда возникающая при использовании английской локализации.

Любопытная вещь. Чем-то напоминает AVZ http://forum.ru-board.com/topic.cgi?forum=5&topic=13590&start=1000#lt
Как я понял, эффективна в качестве "последнего патрона" на зараженной машине, но и на чистой (стучим по дереву!) пригодится для анализа системы.
Требует от пользователя определенной квалификации, но быть мега-админом вовсе не обязательно.
Интересна концепция проги: ведётся база сигнатур "хороших" файлов, а всё прочее попадает под подозрение - этакая презумпция виновности.
Оставил у себя как дополнение к антивирусу и HIPS (Dr.Web и System Safety Monitor, кстати с ними не конфликтует).
Добавлено позже: Эээ... Вот и первый облом. Проверил сабжем каталог, содержащий eicar.com ( http://www.eicar.org/anti_virus_test_file.htm ), сабж заразы не обнаружил. Так не годится.

Вышла версия 3.26

http://dsrt.jino-net.ru/files/uvs_v326.zip

---------------------------------------------------------
3.26
---------------------------------------------------------
o Добавлена поддержка вычисления MD5 (RFC 1321)

o В контекстное меню файла добавлена возможность запрета запуска исполняемого файла по MD5 хэшу.
(Для WinXP и старше, для применения настроек необходимо запустить gpupdate /force, иногда
требуется перезагрузка компьютера)
Скриптовая команда: BL хэш_md5 размер_файла_в_байтах
Функция может быть использована для предотвращения повторного заражения или в адм. целях.
(!) Поддерживается ведение лога хэшей запрещенных к запуску файлов в отдельном файле.
(!) Для включения ведения лога в Settings.ini укажите в секции Settings значение bLogBL=1
(!) Имя файла bl.log.

o Добавлена поддержка _системного_бэкапа_ реестра_ Vista/Seven.
Теперь системный бэкап реестра используется по умолчанию для всех версий Windows.

o Добавлен новый твик #19 "Снять ограничения на запуск по хэшу, установленные uVS-ом".

o Добавлен новый твик #20 "Восстановить испорченные значения ImagePath".
Восстановление производится для нек. системных сервисов полностью со всеми
дефолтными параметрами запуска.
(при запуске в лог помещается информация об испорченных значениях)
(!) Функция НЕ тестировалась на Win2k8.

o Добавлен твик #21 "Восстановить из копии ключ SafeBoot"
Твик работает идентично пункту меню Реестр->[HKLM] Восстановить из копии ключ SafeBoot
(!) Для работы этой функции необходим бэкап реестра.
(!) По-умолчанию используется системный бэкап реестра.
(!) Если требуется использовать более свежий бэкап то _предварительно_ необходимо выбрать
(!) каталог с бэкапом в меню "Реестр".

o В меню "Запуск" добавлен пункт GPUPDATE /FORCE
Скриптовая команда: GPUPDATE
(кроме режима проверки неактивных систем).

o Добавлен режим просмотра лога.
Гор. клавиша Alt+L.

o Подчищен лог при работе с образом системы.

o Исправлена ошибка при сохранении тек. каталога в окне выбора файла.

sanitar2k

Но ведь это не антивирус, создайте сигнатуру и будет определять.

NAGRIS

Цитата:

Но ведь это не антивирус, создайте сигнатуру и будет определять

А, точно. Привык скармливать eicar.com всем новым антималварям. Но однако, вышеупомянутый AVZ, который тоже не антивирус, детектит файлик правильно: "not-a-virus.EICAR-Test-File"

sanitar2k


Цитата:

Но однако, вышеупомянутый AVZ, который тоже не антивирус, детектит файлик правильно

Так AVZ поставляется с некоторой базой сигнатур вирусов.
Никто не мешает создать такую для UVS.

Возможно когда-нибудь автор будет выкладывать такую на своем сайте, с набором наиболее распространенных вирусов как это делает McAfee со своим Stinger'ом.

Цитата:

Так AVZ поставляется с некоторой базой сигнатур вирусов

Да, Вы правы, сразу не сообразил

Цитата:

Возможно когда-нибудь автор будет выкладывать такую на своем сайте, с набором наиболее распространенных вирусов

Думаю, это противоречит расстрельной концепции UVS. Вот база сигнатур доверенных файлов на Вашем сайте - самое то, просьба поддерживать её актуальнось.
Добавлено: Заметил, что Ваша программа создает процесс со случайным именем (чтобы вирус не распознал, верно? схожую технологию видел у DrWeb) и работает с дисками на низком уровне. Серьёзно, однако.

Проверил - опасных объектов не обнаружил. Пишет, что есть подозрительные - ссылается на базы касперского - но разве сигнатуры касперского это - вирусы?

НЯП, он видимо орет на сигнатуры вирусов, записанные в базы Каспера. Правда, я всегда считал, что сигнатуры вирусов там хранятся в упакованном виде.

Цитата:

Проверил - опасных объектов не обнаружил. Пишет, что есть подозрительные - ссылается на базы касперского - но разве сигнатуры касперского это - вирусы?

аналогично, приходится полностью удалять каспера...

sanitar2k

Это не моя программа и не мой сайт.

Вышла версия 3.27

http://dsrt.jino-net.ru/files/uvs_v327.zip

---------------------------------------------------------
3.27
---------------------------------------------------------
o Исправлена ошибка отображения 64-х битных числовых значений под Win2k.

o Скриптовая команда gpupdate игнорируется в режиме проверки неактивной системы.

o Добавлена утилита xMD5 для внесения хэшей из bl.log в реестр.
(HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes)
xMD5 можно запускать с парметром (ip адрес или имя компьютера),
если запустить без параметра то хэши будут прописаны в реестр активной системы.

o Модифицирован образ автозапуска, теперь в нем сохраняется в т.ч. и список
установленных программ. Соотв. при работе с образом доступна гор. клавиша Alt+U.
(В v3.27 можно использовать образы пред. версий uVS)

o Добавлена новая скриптовая команда EXEC.
(Запустить указанный файл с параметрами и ЖДАТЬ завершения запущенной программы)

o Косметические изменения в списке выбора категорий.

Вышла версия 3.30

http://dsrt.jino-net.ru/files/uvs_v330.zip

---------------------------------------------------------
3.30
---------------------------------------------------------
o Модифицирован поиск по набору символов, теперь можно выбрать режим поиска.
1. обычный - обычный поиск по нажатиям
2. фильтрующий (по умолчанию) - отображается лишь то, что содержит набранные символы
3. фильтрующий по первым буквам - отображается лишь то, что начинается с набранных символов
(В спец. поле отображается последовательность набранных символов)
Настроить режим поиска можно в меню "Настройка".
Горячие клавиши:
Backspace - удалить последний введенный символ
Esc - сбросить фильтр
(!) Фильтр автоматически сбрасывается при смене категории.

o Добавлены новые ключи запуска для start.exe
(см. _Режимы запуска.txt)

o Добавлена поддержка пользовательской базы подозрительных имен файлов.
База представляет собой текстовый файл (unicode) со списком имен файлов, одно имя на строку,
допускается корректировка файла в любом текстовом редакторе, uVS загружает и использует базу
автоматически. Если неизвестный и непроверенный файл имеет имя из этой базы, то файл попадает
в категорию подозрительных.

o Добавлен автоматический антисплайсер для некоторых функций API.
Только для адресного пространства uVS.
(может быть полезен при зачистке примитивных руткитов)

o Улучшена функция поиска активных файловых вирусов.

o Добавлена возможность сохранения скрипта в процессе работы.
Гор. клавиша Alt+S.

o Исправлена функция поиска файлов запускавшихся неявно.